伊朗黑客OilRig利用Windows漏洞提升权限

主要观点总结

本文主要介绍了伊朗黑客组织APT34（又名OilRig）的新行动，该组织针对阿拉伯联合酋长国和海湾地区的政府和关键基础设施实体展开攻击。Trend Micro研究人员发现了OilRig部署了新的后门程序，利用Windows CVE-2024-30088漏洞提升权限，并揭示了其与FOX Kitten之间的联系。攻击包括利用Web服务器上传Web shell，部署其他工具，注册密码过滤器DLL，下载并安装远程监控和管理工具“ngrok”，通过安全隧道进行隐蔽通信，以及通过难以检测的合法电子邮件流量窃取凭据并泄露敏感数据等步骤。这不是OilRig第一次利用微软Exchange服务器，此前它已在本地Exchange服务器上安装名为“PowerExchange”的PowerShell后门。该黑客组织在中东地区仍然非常活跃，其对能源行业目标的攻击可能会影响许多人。

关键观点总结

关键观点1: 伊朗黑客组织APT34（又名OilRig）针对阿拉伯联合酋长国和海湾地区的政府及关键基础设施实体展开新行动。

这些行动利用了CVE-2024-30088漏洞进行权限提升。

关键观点2: OilRig部署了新的后门程序以窃取凭据，并利用Web服务器上传Web shell来部署其他工具。

这些工具包括密码过滤器DLL和远程监控及管理工具“ngrok”，用于隐蔽通信。

关键观点3: OilRig通过合法电子邮件流量窃取凭据并泄露敏感数据。

他们使用了一种名为“StealHook”的新后门程序来实现这一目的。

关键观点4: OilRig与另一个伊朗APT组织FOX Kitten之间存在联系。

他们的攻击行为令人担忧，可能会开始使用勒索软件作为攻击手段的一部分。

关键观点5: OilRig的攻击目标主要集中在能源行业，可能会影响许多人的日常生活。

该黑客组织在中东地区仍然非常活跃，需要持续关注其动态并加强防范。

免责声明